NEHÉZ ÁTÁLLÁS
A kis- és középvállalkozások többsége az utolsó pillanatokban kapott és kap észbe, kockáztatva ezzel – meg nem felelés esetén – a nem jelentéktelen összegű büntetést. „A kis cégek számára ez most irtózatos munka” – nyilatkozta egy kkv vezetője. Pedig, ahogy Jóri András adatvédelmi szakértő a Figyelőnek elmondta, a GDPR (az Európai Unió 2016/679. számú általános adatvédelmi rendelete) már két éve hatályos, „csak” a kötelező érvényű alkalmazás határideje volt 2018. május 25-re kiírva. A türelmi idő éppen azt szolgálta, hogy a cégek felkészülhessenek. „Annak is sok tennivalója volt, aki a korábbi magyar adatvédelmi jog rendelkezéseinek megfelelt: új nyilvántartásokat kellett alkotnia, jogi elemzést volt szükséges végeznie minden egyes adatkezeléssel kapcsolatban, végig kellett tárgyalnia az adatvédelmi tárgyú szerződéseket” – magyarázta a szakértő. Sok esetben, mint például a bankoknál vagy a direktmarketing-szolgáltatóknál, külön törvény vonatkozik az adatkezelésre. „Problémának látom, hogy ezek a külön törvények gyakran a régi adatvédelmi jog koncepcióját követik. Felül kell majd vizsgálni őket a GDPR fényében” – emelte ki Jóri András.
Mint elmondta, az is gond, hogy egy átlagos kisebb vállalkozás nehezen tud bevonni tanácsadókat, de a helyzete jogilag talán egyszerűbb, mert a tevékenységére nem vonatkoznak speciális szabályok. Az EY szakértőinek a tapasztalatai szerint itthon sokan nem tudják pontosan, hogyan érinti őket a rendelet. Mivel minden cég más típusú és mennyiségű információt kezel, fontos, hogy csak a számukra releváns lépéseket tegyék meg, elkerülve a fölösleges költségeket – javasolják.
JÓ ÜZLET LETT
Számtalan GDPR-átállásra felkészítő tanfolyamot, workshopot és konferenciát szerveztek az elmúlt időszakban. Ugyanakkor kevés a jó szakember, hiszen az adatvédelmi jog „niche” terület volt korábban. „Akinek valós tapasztalata van ebben az ágazatban, az többnyire nagyvállalatoknak ad tanácsot vagy náluk vállal szerepet a GDPR-projektekben. Sajnos sokan gátlástalanul nemhogy ügyvédi kamarai tagság, de jogi végzettség nélkül adnak útmutatást. Ez nem csupán bűncselekmény, sokszor a tájékozatlan megbízót beláthatatlan kockázatoknak teszik ki” – hívta fel a figyelmet Jóri András. Problémának látja, hogy a szakértők és az érintett cégek száma között óriási a különbség, gyakorlatilag lehetetlen kielégíteni a keresletet. „Véleményem szerint itt a Nemzeti Adatvédelmi és Információszabadság Hatóságra (NAIH) hárulna az a feladat, hogy – főképp a kkv-szektorban – edukációs munkát végezzen” – vetette fel a szakértő.
TAPASZTALATOK
„A dm számára a jogszabályi környezetnek való megfelelés hosszabb folyamat volt, amely május 25-ével nem zárul le, hiszen mindig van hova fejlődni – mondta Kanyó Roland, a dm Kft. marketing- és PR-menedzsere. – Természetesen nekünk is át kellett gondolni az üzleti és egyéb folyamatainkat, szükséges volt újakat kialakítani, analizálni, szerződéseket aktualizálni, a kollégákat megfelelően érzékenyíteni. Utóbbi azért fontos, mert a munkavállalóink az életben maguk is olyan természetes személyek, akik információkat osztanak meg magukról különböző fórumokon, így ők a dm kapuin kívül is tudatosabb, az adatvédelemben jártasabb magánszemélyként léphetnek fel a jövőben.”
Mint a szakember lapunknak elmondta, a 2009 óta működő törzsvásárlói dm-program részben az új szabályozásnak köszönhetően újul meg. A K&H-nál, ahol több éve megkezdték a felkészülést, azt mondták: „A pénzügyi szektorban az adatkezelés jelentős része nem az ügyfelek hozzájárulásán, hanem jogszabályi rendelkezéseken vagy szerződéses viszonyok végrehajtásán alapul.”
ÚJRAÍRANDÓ SZABÁLYOK
Amit fontos tudni: a GDPR-szabályozás felvált minden nemzeti jogszabályt, ami az EU korábbi adatvédelmi irányelvére épült, azaz az infótörvényt is. Mivel a direktíva alapján 28 ország 28-féle szabályozást hozott létre korábban, a mostani rendelet ezek egységesítését és a mai követelményeknek megfelelő korszerűsítését jelenti. „A most bevezetett adatvédelmi rendelkezés egyszerűbbé teszi a több országban működő cégek helyzetét, hiszen nem kell több különféle jogrendszer elvárásait, változásait követni” – emelte ki Szuhai Gusztáv, az Oracle biztonsági megoldásainak régiós kereskedelmi vezetője egy nemrégiben kiadott közleményben.
A magyar szabályozás az Alkotmánybíróság 90-es évek eleji adatvédelmi határozataira épített, szigorúbb volt, mint egy átlagos európai adatvédelmi jog. Itthon például a jelenleg hatályban lévő direktmarketing-törvény meghatározott lehetőséget ad a cégeknek, hogy adatokat szerezzenek be: vehetnek a központi népesség-nyilvántartásból, egymás között forgalmazhatják az információkat, vagy akár nyilvános adatbázisból is felvehetik azokat bizonyos feltételek mellett. „A GDPR preambuluma kimondja, hogy a direkt marketing jogos érdeken alapul, megfelelő dokumentáció (érdekmérlegelés) elkészítése mellett végezhető. Vajon ezentúl kell-e alkalmazni a korábbi törvény előírásait? Óriási munka áll a jogszabály-előkészítő előtt, hogy a teljes magyar jogrendszert áttekintse GDPR-konformitás szempontjából” – véli Jóri András.
MI IS AZ A GDPR?
Az általános adatvédelmi rendelet, vagyis a General Data Protection Regulation egységesíti és szigorítja a személyes adatok védelmére vonatkozó irányelveket az Európai Unióban. A szigorú kötelezettségek közé tartozik például:
− a korábban ismertek mellett (pl. helyesbítés) új adatvédelmi jogok biztosítása (pl. adathordozhatósághoz való jog)
− adatleltár és egyes esetekben hatásvizsgálat készítésének kötelezettsége
– adatvédelmi incidensekkel kapcsolatos kötelezettségek (adatvédelmi hatóság, az érintett értesítése)
A rendelet emellett pontosan meghatározza az információk felhasználási lehetőségeit és az ügyfél-hozzájárulások megszerzésének módját.
Lényegében, hogy megvédjék az EU-s állampolgárok személyes adatait, arra kényszeríti a cégeket, hogy az adatkezelésüket felülvizsgálják és üzleti folyamataikat áttekintsék, megvizsgálva, hogy azok miként hatnak az érintettek személyes adataira.
Meg nem felelés esetén (például az adatkezelő nem biztosítja a törlést, hanyagul kezelt információ illetéktelenül kikerül a felügyelete alól) a büntetés 20 millió euró vagy az éves forgalom 4 százaléka is lehet. Fontos megjegyezni, hogy a GDPR nem vonatkozik arra az esetre, ha az adatkezelést „természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik”.
